STR-relaterade frågor

Vad är STR:s ansvar och lösningar och vad är trafikskolornas?

Vad är aSTRas roll i GDPR gentemot skolans enskilda roll?

Svar: Alla verksamheter som hanterar personuppgifter på något sätt är själva ansvariga för att säkerställa att de uppfyller kraven enligt GDPR. Det ansvaret kan aldrig läggas på någon annan part.

Alla personuppgifter som trafikskolorna lägger in eller registrerar någonstans är ni personuppgiftsansvariga för (PuA). Motsvarande gäller naturligtvis för STR.

STR har arbetat fram avtal för trafikskolorna som tydliggör ansvarsfördelningen kopplat till vårt affärssystem aSTRa WEB. STR tillhandahåller ett affärssystem där STR är personuppgiftsbiträde (PuB) och där trafikskolorna är personuppgiftsansvariga. Vi har också tagit fram mallar för andra avtal som ni kan använda (t ex. samtyckesavtal m.m.).

STR har också på med en anpassning av affärssystemet aSTRa WEB så att det är GDPR-anpassat till den 25 maj 2018. Det innebär att vi bygger om systemet så att personuppgifter och information raderas enligt krav på lagring, rensning och borttagning vid behov eller önskemål. Det är dock fortfarande trafikskolornas ansvar att hantera personuppgifterna på ett korrekt sätt, även om STR bygger om systemet för att lättare kunna möta upp mot kraven i dataskyddsförordningen.

Vi har skickat ut information gällande GDPR/dataskyddsförordningen och hur affärssystemet aSTRa kommer att anpassas för att arkivera, rensa och hantera personuppgifter i systemet framöver. Vi har också arrangerat ett webbinarie som förklarar hur aSTRa har GDPR-anpassats.

Kan ni ge ett praktiskt exempel som är relevant för hur en trafikskola hanterar uppgifter, t.ex. gamla kunder/kundregister och förändringar i aSTRa WEB?

Svar: Använd checklistorna och det stöd som finns på hemsidan. Ta del av informationen gällande GDPR och hur affärssystemet aSTRa WEB kommer att anpassas för att arkivera, rensa och hantera personuppgifter i systemet framöver. 

Hur funkar det praktiskt när man har e-post m.m. sparade på en extern server?

Svar: Titta gärna på underlaget på hemsidan gällande e-post och GDPR. När det gäller tjänster och produkter som erhålles av andra leverantörer, så skall det upprättas tydliga avtal mellan de som är personuppgiftsansvariga (PuA) och de som är personsuppgiftsbiträde (PuB) – som reglerar vem som är ansvarig för personuppgifterna, samt vad personuppgiftsbiträdet får göra med personuppgifter på uppdrag av personuppgiftsansvarig. I denna fråga tolkar vi det som att ni är personuppgiftsansvariga för er e-post, men att ni har något biträde som har servrar, back up och liknande.

Finns det mallar som vi kan ta del av och använda på vår arbetsplats?

Svar: Ja, det finns mallar och andra dokument på hemsidan. Du hittar dem här.

Kommer det något nytt lättskrivet avtalsvillkor till elever som idag har Elevcentralen som de kan läsa och godkänna?

Svar: Ja, avtalet som idag finns i Elevcentralen har uppdaterats och anpassats till GDPR.

Får elever godkänna avtalsvillkor innan de fyllt 18 år eller krävs det även målsmans godkännande?

Svar: Endast den som kan förstå innebörden av ett samtycke kan lämna ett giltigt samtycke i personuppgiftslagens mening.

Hantering av barns personuppgifter kräver specialbehandling. Barn kan enligt dataskyddsförordningen inte själva samtycka till lagring och användning av sina personuppgifter, istället krävs vårdnadshavarnas samtycke. När du informerar barn om saker som har med dataskyddsförordningen att göra så måste du göra det på ett så enkelt sätt att barnen förstår.

Det är ditt ansvar att se till att alla samtycken du hänvisar till är giltiga, så om du helt eller delvis riktar dig till barn så behöver du på något sätt kunna skilja på vilka som är barn och vilka som är vuxna. Enligt dataskyddsförordningen räknas man som barn tills man fyllt 16 år, men Sverige kan välja att sänka gränsen till som yngst 13 år.

Enligt personuppgiftslagen är det den registrerade, det vill säga den som personuppgifterna gäller, som kan samtycka till behandling av personuppgifterna. För att ett giltigt samtycke ska kunna ges krävs att den registrerade är kapabel att förstå innebörden av samtycket. När det gäller vuxna personer är det kravet vanligtvis uppfyllt. Vuxna personer kan dock sakna förmåga att förstå innebörden av ett samtycke. De kan till exempel vara psykiskt sjuka eller dementa. Om så är fallet kan en eventuell behandling av personuppgifter inte heller grundas på samtycke från till exempel en anhörig. Behandlingen får då istället utföras med stöd av någon annan bestämmelse i personuppgiftslagen eller i någon annan författning. Om det inte är möjligt får den personuppgiftsansvarige avstå från behandlingen.

Också den som är underårig (det vill säga under 18 år) kan lämna giltigt samtycke till en tilltänkt behandling om han eller hon är kapabel att förstå innebörden av samtycket.

Men måste inte även den underåriges vårdnadshavare lämna sitt samtycke för att behandlingen ska vara tillåten?

Svar: Det varierar från fall till fall och beror på faktorer som ålder, uppgifternas art och ändamålet med behandlingen. 

Om uppgifter om underåriga ska behandlas är det särskilt viktigt att göra en seriös bedömning av den unges förmåga att förstå de totala konsekvenserna av en behandling. En tumregel kan vara att den som fyllt 15 år normalt är kapabel att ta ställning i samtyckesfrågan. Många gånger är det dock så att andra regler än de som finns i personuppgiftslagen hindrar att personuppgifter om barn behandlas.

Det finns till exempel begränsningar när det gäller att skicka direktreklam till barn.

Enligt konsumentlagstiftningen gäller följande:

• Barn är omyndiga
• Alla, oavsett ålder, kan äga tillgångar. Men barn under 18 år är omyndiga och har begränsad rättshandlingsförmåga. Att inte ha rättshandlingsförmåga betyder att man inte får ta hand om eller bestämma över sin egendom och inte heller kan åta sig olika förpliktelser.
• Den som är under 18 år är omyndig och har bara begränsad möjlighet att ingå avtal, ta emot gåvor eller ta hand om sina tillgångar. Ett barn kan därför till exempel inte köpa en bil, få kredit eller ge bort sin egendom. Barn kan få ta emot en gåva, men bara om de kan förstå innebörden av gåvan. Däremot kan barn aldrig ta emot fast egendom utan samtycke från överförmyndaren.
• Regler om omyndiga och om förmyndare och andra ställföreträdare finns i föräldrabalken.
• Det krävs samtycke från förmyndaren
• Om ett barn ska ingå ett avtal så krävs förmyndarens samtycke. Förmyndare till ett barn är oftast föräldrarna. Skulle ett barn träffa ett avtal på egen hand är det ogiltigt som huvudregel, såvida inte föräldrarna godkänner det i efterhand. Det spelar ingen roll om den andra parten, exempelvis en butik, är i god tro. Ju äldre barn blir, desto större blir dock möjligheten för dem att ingå bindande avtal.
• Föräldrarnas samtycke behöver inte vara uttryckligt, utan kan vara ett så kallat tyst, eller underförstått, samtycke. Har föräldrarna försett sitt barn med pengar, och barnet köper något som får anses normalt med tanke på åldern, så utgår man ofta från att det finns ett tyst samtycke.
• Eget hushåll och 16-årsgränsen
• Barn kan dock i vissa fall ha rättshandlingsförmåga inom särskilda områden. Till exempel får en omyndig person som har ett eget hushåll ingå de avtal som behövs för den dagliga hushållningen. Att köpa kläder och mat är exempel på sådana avtal.
• Från 16 års ålder får den som är omyndig själv disponera över sin egen arbetsinkomst. En 16- eller 17-åring kan därför på egen hand köpa varor eller tjänster för pengar han eller hon tjänat själv. Den som fyllt 16 år kan också öppna ett bankkonto för att sätta in och ta ut pengar.
• Har ett barn fått egendom som en gåva eller genom ett testamente, med villkoret att barnet själv ska råda över den, så får han eller hon i princip själv bestämma över den egendomen.

Kommer avtalsvillkoren finnas på andra språk än svenska?

Svar: STR har bara avtalstexter på svenska.

Hur blir det när kunder som inte är inskrivna på trafikskolan anmäler sig själva till exempelvis intro- och riskettankurser?

Svar: Om de skriver in sig på en utbildning via er skola så är ni personuppgiftsansvariga. Så fort ni hanterar personuppgifter blir ni personuppgiftsansvariga även om de inte är inskrivna på er skola. Om de sedan registreras i aSTRa WEB (som kursdeltagare), så hanteras personuppgifterna där enligt regelverket och kommer att sparas enligt de riktlinjer som finns och med hänsyn till GDPR. Därefter raderas de i systemet enligt lagd rutin.

Hur påverkas elever som redan är inskrivna eller de som tidigare gått Introduktionsutbildning eller Riskettan?

Svar: Det som är korrekt registrerat i aSTRa WEB kommer systemet själv att hantera per automatik. När ni arkiverar en elev så startar tiden för kravställd lagring (registrerings och rapporteringskravet) i systemet. Därefter raderas personuppgifterna när den tidsramen gått ut. Så hanterar ni uppgifterna korrekt i systemet så behöver ni inte göra något annat.

Hur kan jag garantera mina kunder vad som händer med personuppgifterna som STR har tillgång till?

Svar: Du kan hänvisa till avtalet som skall finnas mellan STR och ditt företag gällande personuppgiftsansvarig och personuppgiftsbiträde. Kunden kan alltid ställa frågan till företag och STR om att få ut de personuppgifter som hanteras av respektive part. När det gäller körkortselever som registreras i aSTRa WEB så ska kunden vända sig till er för att begära ut uppgifterna. STR tar fram uppgifterna till er på er begäran och har inte rätt att ta fram uppgifterna i annat fall, utan får bara hantera personuppgifter enligt gällande PuA/PuB avtal mellan parterna.

Om personen inte är nöjd med svaret eller hanteringen av frågan, så kan kunden alltid kontakta dataskyddsombudet på företaget/STR och lämna in en klagan. Då har dataskyddsombudet en skyldighet att utreda ärendet och återkomma med svar på klagan. Skulle kunden fortfarande vara missnöjd – så kan de alltid göra en anmälan till tillsynsmyndigheten som i detta fall är Dataskyddsinspektionen, som sedan följer upp ärendet mot företaget.

Vad gör STR för lösningar? Ska vi ansöka igen för att nu få tillgång till GDPR eller rullar det per automatik?

Svar: GDPR börjar gälla för alla företag i EU den 25 maj. Alla som hanterar personuppgifter har ett ansvar att se till att de följer dataskyddsförordningen, som det heter på svenska. Så där är varje företag ansvarig för sitt. STR utvecklar och anpassar affärssystemet som de flesta medlemmarna använder så att det skall vara GDPR-anpassat. Dock är ansvarsförhållanden här också tydliga i det att de som lägger in personuppgifterna (trafikskolan) är den som är personuppgiftsansvarig och de som hanterar uppgifterna i systemet (STR gällande aSTRa WEB) är personuppgiftsbiträde.

Är GDPR tillämplig vid t.ex. tävlingar i trafikskolan där kunder lämnar ett mobilnummer eller en e-postadress för att kunna bli kontaktade efteråt?

Svar: Ja oftast. GDPR är tillämplig om mobilnumret eller e-postadressen kan knytas till en fysisk person och därför är en personuppgift, samt om uppgifterna behandlas automatiskt (t.ex. i en Excel fil) eller på annat sätt (t.ex. papper) i ett register.

Hur, och av vem, får jag mer detaljerad hjälp för just mitt företag?

Svar: STR tillhandahåller stöd på hemsidan. STR utvecklar och GDPR-anpassar även affärssystemet aSTRa WEB, så att systemet underlättar hanteringen av personuppgifterna. Ditt företag kan behöva ha särskilda rutiner som ni bör se över. Du hittar även viss information hos tillsynsmyndigheten Datainspektionen. Det kommer också att finnas information riktad till småföretag på www.verksamt.se. Även Företagarna har material om GDPR på sin hemsida.

Omfattas kontokorts/Swish-betalningar av GDPR? Vem är i så fall ansvarig för personuppgiftshanteringen - jag eller kortutgivaren/banken?

Svar: Ja, betalningar med t.ex. kontokort och Swish omfattas av reglerna om hantering av personuppgifter när uppgifterna i, och i samband med, betalningen kan knytas till en fysisk person. Beroende på vad ni har för betallösning så kan ansvaret fördelas olika mellan dig och din leverantör av betallösningar.

I vissa fall, där du som företagare inte får tillgång till själva betaluppgifterna, t.ex. kontokortsnummer, är ditt företag personuppgiftsansvarig för hanteringen av personuppgifterna i samband med betalningen till ditt företag, och kontoutgivare/banken personuppgiftsansvarig för behandlingen av kontokortsnumret. Hör med din leverantör av betallösningar om hur just er betalningslösning tar hänsyn till GDPR.

Då Skatteverket kräver att företag skall spara bokföring i sju år kan väl även jag kräva att spara personuppgifter på betalande kunder i sju år, plus räkenskapsårets utgång, efter sista försäljningen?

Svar: Ditt företag som personuppgiftsansvarig ska ta ställning till hur länge uppgifterna behövs. Finns personuppgifterna i en verifikation ska ni följa bokföringslagens regler om arkivering och har då en rättslig förpliktelse att spara så länge som du nämner. Har ni därefter inte behov av att spara uppgifterna längre, d.v.s. inte längre har något ändamål alternativt rättslig grund för laglig behandlingen ska ni radera personuppgifterna.

I våra köpevillkor har vi skrivet: "Vi skyddar dina personuppgifter och din personliga integritet i enlighet med Personuppgiftslagen (1998:204)." Hur ska detta ändras med anledning av GDPR?

Svar: När GDPR börjar tillämpas bör ditt företag ha uppdaterat sin information och hänvisa till GDPR istället för personuppgiftslagen. Ditt företag ska i samband med att ni samlar in eller tar emot nya personuppgifter lämna information till den registrerade, vilket ni i viss utsträckning ska göra redan enligt nu gällande lagstiftning. Du kan läsa mer om vilken information som ska lämnas här. 

Om däremot registrerade redan har fått informationen behöver ditt företag inte lämna den igen, varken när du samlar in uppgifterna igen eller vid ändring av syftet med behandlingen av uppgifterna utan bara ev. annan information.

Vad anses vara adekvata rutiner avseende back-up och redundans? Är en daglig back-up på kunddata alternativt ett skriftligt kundregister/data en adekvat back-up eller skall även detta vara en fungerande alternativ IT- process? I en händelse av en driftstörning är det svårt att på kundens begäran lämna ut utdrag.

Svar: Det är svårt att ge ett svar generellt vad som krävs för rutiner för back-up. Ditt företag måste utgå från sina förutsättningar och verksamhet. När det gäller rätten att få tillgång till sina uppgifter gäller att ditt företag ska lämna dem utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Förhoppningsvis varar inte driftsstörningen så länge.

Om ditt företag inte kommer kunna ge tillgång till uppgifterna ska företaget utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Datainspektionen och begära rättslig prövning.

Kan vi gå ut till våra kunder via en tjänst för e-postmarknadsföring och säga att de kan lätt ta bort sig ur vårt register där, om de inte längre vill finnas kvar i vårt kundregister och därigenom anses att ha fått OK från de som stannar kvar i vårt register?

Svar: De som inte avanmäler sig har inte lämnat sitt uttryckliga samtycke till behandlingen t.ex. lagring och utskick från er. Det krävs uttryckligt samtycke för att ni ska kunna använda samtycke som grund för laglig behandling. Så antingen måste ni använda någon av de andra fem grunderna för laglig behandling eller be att de gör någon aktiv handling för att vara kvar som registrerade t.ex. svara på ett meddelande.

Grunderna för laglig behandling är:

• Samtycke
• Avtal med den registrerade
• Fullgöra en rättslig förpliktelse
• För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
• För att utföra en uppgift av allmänt intresse eller myndighetsutövning och
• Intresseavvägning

Förmodligen kan du göra en intresseavvägning i detta fall och då resonera kring ditt företags behov av att kunna kommunicera med kunderna och väga det mot kundernas behov av personlig integritet för de uppgifter som ditt företag har i kundregistret. Tänk också på att ditt företag ska uppfylla alla de andra principerna för att få behandla personuppgifterna.

Hur ser en bra och vettig lösning ut i min webbshop? Ska jag ha två olika klickboxar - en för godkännande av shopens köpevillkor och en som bekräftar kundens samtycke till att vi lagrar deras personuppgifter (d.v.s. namn, adress, e-postadress och telefonnummer.)

Svar: Ja, det är bra att du har en separat ruta att klicka för samtycket till behandling av personuppgifter och att ditt företag sparar uppgiften om samtycket så att den är dokumenterad. Kom ihåg att samtycket ska vara välinformerat d.v.s. ditt företag ska ha lämnat grundläggande information om bl.a. ändamål, lagringstid m.m. Det räcker alltså inte med att få ett godkännande av lagring av kundens personuppgifter. 

Det känns som ett slags ”moment 22”: Jag måste spara uppgifterna till min bokföring och eventuell revision i minst sju år, hur ska detta fungera om kunden inte är med på det? Hur ska jag kunna behandla reklamationer och ångerköp utan uppgifterna - att ens hitta ordern blir omöjligt.

Svar: Du behöver inte alltid ha samtycke för att få spara uppgifterna. GDPR har 6 olika grunder för laglig behandling varav samtycke är en. Ditt företag behöver därför undersöka om ni istället kan behandla uppgifterna med stöd av någon av de andra grunderna, t.ex. att behandlingen är nödvändig för att kunna fullgöra avtalet med den registrerade, att ni har en rättslig förpliktelse eller efter en s.k. intresseavvägning. Intresseavvägning innebär att ni gör en bedömning att uppgifterna nödvändiga att använda för företagets berättigade intresse och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.

Hur blir det för fotografer? En bild räknas enligt GDPR som en personuppgift. Personuppgifter får inte avtalas att sparas hur länge som helst utan bara ett specifikt antal år. Som upphovsman så har fotografen rätt till sina bilder. Vad gäller där? Och hur är det med andra personer som hamnar med på bilderna vid stora event som fotografen inte har avtal med?

Svar: Det finns förslag på kompletterande svensk lagstiftning som innebär att vissa delar av GDPR inte kommer att tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Det kommer då att innebära att fotografer ofta kommer kunna hantera sina verk oavsett att fysiska personer är identifierbara utan att behöva tillämpa t.ex. principerna i GDPR. Däremot kommer godkännande fortfarande krävas från personen på bilden när det handlar om personer som syns på en bild som används i reklam. 

Hur får lönespecifikationer distribueras? Måste vi posta eller ansluta oss till Kivra?

Svar: Nej, e-post anses inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer. Post går bra och tjänster som Kivra. Uppmaning om att lönespecifikationen finns via en tjänst som kräver inlogg, som ert interna system för tidrapportering och dylikt går också bra. Så länge detta system i sin tur uppfyller säkerhetskraven som ställs upp i GDPR.

Vi har en webbshop där personuppgifter lagras. Ska jag informera i köpevillkoren att personuppgifter lagras (och hur länge) och att kunderna själva kan begära att bli raderade?

Svar: Ja, du kan informera kortfattat i köpevillkoren och sedan på annat ställe ha mer utförlig information. Det övergripande syftet är att informationen ska vara klar och tydlig. De flesta läser inte sina köpevillkor, Datainspektionen ger rådet att separera dem från övriga villkor.

Tänk dock på att om du ska behandla uppgifterna med stöd av samtycke ska det lämnas särskilt t.ex. genom att kunden kryssar i en ruta i webshopen och ska innan dess fått åtminstone vissa grundläggande uppgifter om ändamål, lagringstid m.m.

Vad kan jag ställa för krav för att säkerställa att den som begär ut uppgifter eller rensning verkligen är behörig att göra så, d.v.s. så att jag inte kan ta bort uppgifter för någon annan utan dennes vetskap (legitimationskrav)?

Svar: Om ditt företag har rimliga skäl att betvivla att den som begär ut uppgifter, radering eller vill utnyttja någon annan av sina rättigheter som registrerad inte är den hen utger sig för kan du begära den ytterligare information som är nödvändig för att bekräfta den registrerades identitet.

Kan jag innan en rensning begära att den som önskar rensningen bekräftar att det skulle kunna innebära negativa konsekvenser för denne i framtiden, exempelvis vid förfrågan om betyg och liknande? Kan jag i sådant fall spara denna bekräftelse som framtida bevis?

Svar: Nej, GDPR räknar upp de fall där den registrerade har rätt till radering av uppgifterna och även undantagen.

Efter rensning av exempelvis anställningsuppgifter så saknas möjligheter att söka efter personen och någon koppling till anställningsnummer finns inte. Har jag i samband med det en skyldighet att även ta bort utskrivna dokument där uppgifterna finns, exempelvis lönespecifikationer för denne anställde där jag önskar ha kvar övriga anställdas?

Svar: Det är bara om de utskrivna dokumenten ingår i ett register eller kommer ingå i ett register som GDPR ska tillämpas på personuppgifterna i dokumenten.

Måste kunden särskilt ge sitt samtycke eller klassas ett köp som samtycke?

Svar: Ja, ett samtycke ska vara uttryckligt och ske i aktiv form efter att kunden fått åtminstone viss grundläggande information om hur ditt företag kommer att behandla personuppgifterna. Underförstådda samtycken gäller inte. Att uppgifterna är nödvändiga för fullgörandet av avtalet är ett exempel på en annan grund för laglig behandling istället för samtycke.

Om kunden enbart får en offert/prisförfrågan, kan dessa uppgifter sparas utan ett särskilt samtycke?

Svar: Ja, du kan använda någon annan grund för laglig behandling t.ex. intresseavvägning. Men tänk också på att övriga principer för behandling ska följas. Det är viktigt att intresseavvägningen görs korrekt att ”den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt om de det gäller barn”. Exempelvis måste då de radera personuppgifterna efter det att offerten inte längre är gällande, om det är det som är ändamålet.

Om kunden ger sitt samtycke, vad är skillnaden gentemot personuppgiftslagen (PUL)?

Svar: Samtycket ska vara uttryckligt, välinformerat, frivilligt och dokumenterat. Tidigare har underförstådda samtycken godtagits.

Är det någon skillnad om innehållet i det man skickar till kund berör ren information eller om det är ett köperbjudande?

Svar: Ja, om det är fråga om direkt marknadsföring har kunden rätt att invända mot att personuppgifterna används för det och personuppgifterna får då inte längre behandlas för detta ändamål.

Skall man ha skriftligt godkännande från kund om att de godkänner att finnas med i register? Om ja, skall man i så fall föra in en speciell text på följesedel eller faktura i stil med ”Härmed godkänner jag att jag finns med i företagets register…”?

Svar: Ett samtycke ska tas in innan behandling, när du skickar följesedel eller faktura är för sent. Ditt företag kan begära samtycke till behandlingen eller välja att behandla personuppgifterna med stöd av någon av de andra fem grunderna för laglig behandling.

Om ditt företag ska behandla känsliga personuppgifter är huvudregeln att ditt företag ska ha ett välinformerat, uttryckligt, frivilligt och dokumenterat samtycke till behandlingen av de känsliga personuppgifterna annars är det bara i vissa undantagsfall som ditt företag får behandla de känsliga uppgifterna. Eftersom det är kunden som ska lämna samtycket till ditt företag är det bäst att de lämnar det t.ex. i samband med beställningen eller i annat meddelande som de skickar till ditt företag.

Måste man ta bort tidigare registrerade uppgifter på gamla kunder/ leverantörer (i faktureringssystem ut till kund eller leverantörsuppgifter)?

Svar: Ja, när du inte längre har något syfte med att behandla uppgifterna eller inte har någon grund för laglig behandling längre ska du radera uppgifterna.